Amazon Macie の調査結果を抑制する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の調査結果を抑制する

調査結果の分析を合理化するために、抑制ルール を作成して使用できます。suppression rules (抑制ルール) は、Amazon Macie が調査結果を自動的にアーカイブするケースを定義する属性ベースのフィルター条件のセットです。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。

例えば、バケットがパブリックアクセスを許可せず、自動的に特定の AWS KMS key で新しいオブジェクトを暗号化する場合に、S3 バケットが郵送先住所を含める許可を決定することがあります。この場合は、フィールドのフィルター基準を指定する以下の抑制ルールを作成します: 機密データ検出タイプS3 バケットパブリックアクセス許可、および S3 バケットの暗号化 KMS キー ID このルールは、フィルター基準を満たす今後の検出結果を制限します。

抑制ルールを使用して検出結果を抑制する場合、Macie は、ルールの基準を満たす機密データおよび潜在的なポリシー違反の今後の発生について検出結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に archived (アーカイブ済み) に変更します。これは、調査結果がデフォルトで Amazon Macie コンソールに表示されないけれども、有効期限が切れるまで Macie には保持されることを意味します。Macie は 90 日間調査結果を保存します。

さらに、Macie は抑制した検出結果をイベントとしての Amazon EventBridge または AWS Security Hub に出力しません。ただし、Macie は、抑制した機密データの調査結果に関連している sensitive data discovery results (機密データの検出結果) を引き続き作成して保存します。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果のイミュータブルな履歴を確実に保持できます。

注記

アカウントが複数の Macie アカウントを集中管理する組織に含まれる場合は、アカウントによって抑制ルールの動作が異なる場合があります。これは、制限したい結果のカテゴリと、Macie 管理者アカウントまたはメンバーアカウントのどちらを使用しているかによって異なります。

  • ポリシー検出結果 — 組織のアカウントに関するポリシー検出結果を制限できるのは Macie 管理者のみです。

    Macie 管理者アカウントを持ち、抑制ルールを作成する場合、特定のアカウントを除外するようにルールを設定しない限り、Macie は組織内のすべてのアカウントのポリシー検出結果にルールを適用します。Macie メンバーアカウントを持ち、そのアカウントのポリシー検出結果を制限したい場合は、Macie 管理者に連絡してください。

  • 機密データ検出結果 — Macie 管理者と個々のメンバーは、機密データ検出ジョブで生成された機密データ検出結果を制限することができます。Macie 管理者は、組織の機密データ自動検出を実行している間に、Macie が生成する検出結果を制限することもできます。

    機密データ検出ジョブを作成するアカウントのみ、そのジョブの生成する機密データの検出結果を制限、または検出結果にアクセスできます。組織の Macie 管理者アカウントのみが、機密データ自動検出によって組織内のアカウント用に生成された検出結果を制限、または検出結果にアクセスできます。

管理者とメンバーが実行できるタスクの詳細については、Amazon Macie 管理者とメンバーアカウントの関係について理解する を参照してください。

抑制ルールを作成および管理するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。次のトピックでは、その方法を説明します。API に向けたトピックでは、AWS Command Line InterfaceAWS CLIを用いてこれらのタスクを実行する方法を説明します。現在のバージョンの別の AWS コマンドラインツールまたは AWS SDKを使用するか、HTTPS リクエストを Macie に直接送信してこれらのタスクを実行することもできます。AWS のツールと SDK に関する詳細については、AWS での構築ツールを参照してください。

抑制ルールを作成する

抑制ルールを作成する前に、抑制ルールを使用して抑制した調査結果を復元 (アーカイブ解除) できないことに注意してください。ただし、Amazon Macie コンソールで 抑制された検出結果を表示し、Amazon Macie API を用いて抑制された検出結果にアクセスできます。

抑制ルールを作成するときは、フィルター基準と名前、必要に応じてルールの詳細を指定します。抑制ルールは、Amazon Macie コンソールまたは Amazon Macie API を使用して作成できます。

Console

Amazon Macie コンソールを使用して抑制ルールを作成するには、次のステップに従います。

抑制ルールを作成するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 調査結果を選択します。

    ヒント

    既存の抑制ルールまたはフィルタールールを開始点として使用するには、Saved rules (保存されたルール) のリストからルールを選択します。

    また、事前定義された論理グループによる調査結果を最初にピボットしてドリルダウンすることで、ルールの作成を合理化することもできます。これを行うと、Macie は適切なフィルター条件を自動的に作成して適用します。これは、ルールを作成するために役立つ開始点となる場合があります。これを行うには、ナビゲーションペイン (調査結果 の下) の バケット別タイプ別、または ジョブ別を選択し、次にテーブル内で項目を選択します。詳細パネルで、ピボットするフィールドのリンクを選択します。

  3. フィルタ条件ボックスで、ルールで抑制する検出結果の属性を指定するフィルター条件を追加します。

    検出結果ページの フィルター条件ボックス。

    フィルター条件を追加する方法については、フィルターの作成と調査結果への適用を参照してください。

  4. ルールのフィルター条件の追加が完了したら、フィルターバーの上にある 検出結果を抑制する を選択します。

  5. 抑制ルール の下で、ルールの名前を入力し、必要に応じて説明を入力します。

  6. 保存 を選択します。

API

プログラムで抑制ルールを作成するには、Amazon Macie API の CreateFindingsFilter オペレーションを使用して、必要なパラメータに適切な値を指定します。

  • action パラメータでは、ARCHIVE を指定して、Macie がルールの基準を満たす検出結果を制限するようにします。

  • criterion パラメータでは、ルールのフィルター基準を定義する条件のマップを指定します。

    マップでは、条件ごとに、フィールド、演算子、およびフィールドの 1 つ以上の値を指定する必要があります。値のタイプと数は、選択するフィールドと演算子によって異なります。条件で使用できるフィールド、演算子、および値のタイプについては、調査結果をフィルタリングするためのフィールド条件での演算子の使用、およびフィールドの値を指定するを参照してください。

AWS CLI を使用して抑制ルールを作成するには、create-findings-filter コマンドを実行し、必要なパラメータに適切な値を指定します。次の例では、現在の AWS リージョン 内にあり、S3 オブジェクト内の郵送先住所 (他のタイプの機密データは含まない) の出現をレポートするすべての機密データの検出結果を返す抑制ルールを作成します。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 create-findings-filter \ --action ARCHIVE \ --name my_suppression_rule \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

C:\> aws macie2 create-findings-filter ^ --action ARCHIVE ^ --name my_suppression_rule ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

実行する条件は以下のとおりです。

  • my_suppression_rule は、ルールのカスタム名です。

  • criterion は、ルールのフィルター条件のマップです。

    • classificationDetails.result.sensitiveData.detections.type は、機密データの検出タイプ フィールドの JSON 名です。

    • eqexactMatch は、完全一致と等しい 演算子を指定します。

    • ADDRESS は、機密データ検出タイプ フィールドの列挙値です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example", "id": "8a3c5608-aa2f-4940-b347-d1451example" }

ここで、arn は、作成された抑制ルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です。

フィルター基準のその他の例については、Amazon Macie API を用いて調査結果をプログラムでフィルタリングするを参照してください。

抑制された検出結果を確認する

デフォルトでは、Macie は Amazon Macie コンソールに抑制された調査結果を表示しません。フィルター設定を変更することにより、コンソールでこれらの検出結果を確認できます。

抑制された検出結果をコンソールで確認する
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 調査結果を選択します。この 検出結果 ページには、Macie が過去 90 日間に現在の AWS リージョン でアカウントに対し作成または更新した検出結果が表示されます。デフォルトでは、これには抑制ルール で抑制された調査結果は含まれません。

  3. ステータスを検索 で、以下のいずれかを実行します。

    • 抑制された検出結果のみを表示するには、アーカイブ済み を選択します。

    • 抑制された検出結果と抑制されていない検出結果の両方を表示するには、すべてを選択します。

    • 抑制された検出結果を再度非表示にするには、現在 を選択します。

Amazon Macie API を使用して、抑制された結果にアクセスすることもできます。抑制された調査結果のリストを取得するには、ListFindings オペレーションを使用し、archived フィールドに true を指定するフィルター条件を含めます。AWS CLI を使用してこれを行う方法の例については、調査結果をプログラムでフィルタリングするにはを参照してください。1 つ以上の抑制された検出結果の詳細を取得するには、GetFindingsオペレーションを使用し、取得する各検出結果に一意の識別子を指定します。

抑制ルールを変更する

抑制ルールの設定は、Amazon Macie コンソールまたは Amazon Macie API を使用していつでも変更できます。ルールにタグを割り当てて管理することもできます。

タグは、ユーザーが定義して特定のタイプの AWS リソースに割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを特定、分類および管理できます。詳細については、Amazon Macie リソースへのタグ付けを参照してください。

Console

Amazon Macie コンソールを使用して既存の抑制ルールの設定を変更するには、次のステップに従います。

抑制ルールを変更するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 調査結果を選択します。

  3. Saved rules (保存されたルール) のリストで、変更する抑制ルールの隣にある edit (編集) アイコン A box with a pencil を選択します。

  4. 次のいずれかを実行します。

    • ルールのフィルター基準を変更するには、フィルタ条件ボックスを使用してルールで抑制する検出結果の属性を指定するフィルター条件を追加します。この方法の詳細は、フィルターの作成と調査結果への適用を参照してください。

    • ルールの名前を変更するには、新しい名前を 抑制ルールの下の 名前ボックスに入力します。

    • ルールの説明を変更するには、新しい説明を 抑制ルールの下の 説明ボックスに入力します。

    • ルールのタグを割り当て、確認、または編集するには、抑制ルールタグを管理 を選択します。必要に応じてタグを確認および変更します。ルールには、最大 50 個のタグを含めることができます。

  5. 変更が完了したら、Save を選択します。

API

プログラムで抑制ルールを変更するには、Amazon Macie API のUpdateFindingsFilterオペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。

id パラメータでは、変更するルールの一意の識別子を指定します。ListFindingsFilterオペレーションを実行して、アカウントの抑制ルールとフィルタールールのリストを取得することで、この識別子が得られます。AWS CLI を使用している場合は、list-findings-filters コマンドを実行してこのリストを取得してください。

AWS CLI を使用して抑制ルールを変更するには、update-findings-filter コマンドを実行し、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。次の例では、既存の抑制ルールの名前を変更します。

C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only

実行する条件は以下のとおりです。

  • 8a3c5608-aa2f-4940-b347-d1451example は、ルールの一意の識別子です。

  • mailing_addresses_only は、ルールの新しい名前です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example", "id": "8a3c5608-aa2f-4940-b347-d1451example" }

ここで、arn は、変更されたルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です

同様に、次の例では、action パラメータの値を NOOP から ARCHIVE に変更することで、フィルタールールを抑制ルールに変換します。

C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE

実行する条件は以下のとおりです。

  • 8a1c3508-aa2f-4940-b347-d1451example は、ルールの一意の識別子です。

  • アーカイブ は、ルールの基準を満たす検出結果に対して Macie が実行する新しいアクションです (検出結果を制限します)。

コマンドが正常に実行された場合は、次のような出力が表示されます。

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example", "id": "8a1c3508-aa2f-4940-b347-d1451example" }

ここで、arn は、変更されたルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です

抑制ルールを削除する

抑制ルールは、Amazon Macie コンソールまたは Amazon Macie API を使用していつでも削除できます。抑制ルールを削除すると、Macie は、ルールの基準を満たし、他のルールに抑制されない検出結果の新規およびその後の出現の抑制を停止します。ただし、Macie は、現在処理中であり、ルールの基準を満たす検出結果を引き続き制限する可能性があることに注意してください。

抑制ルールを削除した後、ルールの基準を満たす検出結果の新規およびその後の出現は、現在のステータス (アーカイブ済みにならない) となります。これは、それらが Amazon Macie コンソールにデフォルトで表示されることを意味します。さらに、Macie はこれらの検出結果を Amazon EventBridge イベントとして発行します。アカウントで選択した出力設定に応じて、Macie は AWS Security Hub にそのサンプル検出結果を発行することもできます。

Console

Amazon Macie コンソールを使用して抑制ルールを削除するには、次のステップに従います。

抑制ルールを削除するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 調査結果を選択します。

  3. Saved rules (保存されたルール) のリストで、削除する抑制ルールの隣にある編集アイコン A box with a pencil を選択します。

  4. 抑制ルールの下で、削除を選択します。

API

プログラムで抑制ルールを削除するには、Amazon Macie API の DeleteFindingsFilter オペレーションを使用します。id パラメータでは、削除する抑制ルールの一意の識別子を指定します。ListFindingsFilterオペレーションを実行して、アカウントの抑制ルールとフィルタールールのリストを取得することで、この識別子が得られます。AWS CLI を使用している場合は、list-findings-filters コマンドを実行してこのリストを取得してください。

AWS CLI を使用して抑制ルールを削除するには、delete-findings-filter コマンドを実行します。例:

C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example

ここで 8a3c5608-aa2f-4940-b347-d1451example は、削除する抑制ルールの一意の識別子です。

コマンドが正常に実行されると、Macie は空の HTTP 200 レスポンスを返します。それ以外の場合、Macie は HTTP 4xx またはオペレーションが失敗した理由を示す 500 レスポンスを返します。